Dr. R P
Ungeachtet von Fancy Bear oder der NSO-Gruppe ist die größte Bedrohung für das offene Internet heute die großen Tech-Konzerne, von denen es abhängig geworden ist. Was sonst sollen wir daraus schließen, dass Google offenbar an einem System arbeitet, das große Teile des Internets hinter eine neue Form von CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) sperren soll, das nicht dazu entwickelt wurde, Menschen von Bots zu unterscheiden, sondern vielmehr jeden zu einer Unperson zu machen, der kein ‚genehmigtes‘ Android- oder Apple-Gerät besitzt?
Googles reCAPTCHA-Dienst wird von einer Vielzahl von Websites genutzt, von denen viele in jeder anderen Hinsicht von Google unabhängig sind, um eingehenden Verkehr oder in Kontaktformulare eingegebene Daten zu begrenzen. Es soll verhindern, dass automatisierte Software auf diese Ressourcen zugreift und sie zum Versenden von Spam-Nachrichten oder zur Überflutung von Websites mit Denial-of-Service-Angriffen nutzt. Sie sind ihm wahrscheinlich schon begegnet, wenn Sie aufgefordert wurden, alle Fahrräder in einem Bilderraster zu identifizieren.
Unter der Schirmherrschaft seines Programms Cloud Fraud Defence führt Google eine neue Form von CAPTCHA ein, bei dem der Weg, um zu ‚beweisen‘, dass man ein Mensch ist, darin besteht, im Besitz eines von Google genehmigten Geräts zu sein. Die ursprüngliche Berichterstattung von Reclaim the Net konzentrierte sich auf die Bedrohung für ent-googelte Telefone, also Telefone, die Android-ähnliche Betriebssysteme verwenden, denen Googles – oft unerwünschte – proprietäre Funktionen entfernt wurden, wie GrapheneOS oder LineageOS. So wie der fade Name ‚Altersverifikation‘ jedoch als Deckmantel dient, unter dem Systeme geschmuggelt werden können, die alles wahrhaft persönliche Rechnen beenden sollen, könnte die Gefahr hier viel größer sein, als die technisch fokussierte Schlagzeile vermuten lässt. Da die Quellen, die dies diskutieren, relativ wenige sind, ist es schwer zu ermitteln, was bereits ausgerollt wurde und was sich noch im Konzeptstadium befindet. Aber es scheint, dass die neue Art von CAPTCHA nicht nur Benutzer mit ent-googelten Telefonen, sondern jeden ohne ein ‚genehmigtes‘ Gerät bedroht. Googles eigene Dokumentation bestätigt die Existenz – als „Vorschau“ mit derzeit bestehenden alternativen Optionen – von CAPTCHAs, die ein Apple- oder Android-Handy erfordern, um sie zu bestehen. Sie beschreibt dies jedoch im Kontext einer „Mobilen Verifizierung“, was eine begrenztere Verwendung als reCAPTCHA im Allgemeinen implizieren könnte. Bei solch einer Funktionalität gibt es jedoch keinen Grund, warum Google dies nicht, ohne alternative Optionen, überall dort aktivieren könnte, wo seine reCAPTCHA-gebrandeten Aufforderungen erscheinen.
In dem Wissen, dass der Ausschluss aller außer Android-Benutzern selbst ahnungsloseste Politiker einen Monopolgeruch wittern ließe, hat Google sich herabgelassen, auch Apple iOS-Benutzer durchzulassen, aber ihre Genehmigung ist dennoch auf Geräte beschränkt, bei denen der gesamte Technologie-Stack unter unternehmerischer Kontrolle steht. Apple-Telefone und -Tablets verwenden einen gesperrten Bootloader, um Benutzer in einem ummauerten Garten gefangen zu halten, wo sie Gnade vor Apple walten lassen müssen, wann immer eine unerwünschte neue Funktion eingeführt wird. Sollte die Kampagne Keep Android Open nicht erfolgreich sein, werden zertifizierte Android-Geräte bald kaum besser sein, da eine Zertifizierungsbedingung ist, dass Hersteller Benutzer daran hindern müssen, Apps von außerhalb des Google Play Store zu installieren (Sideloading).
Weil Apple- und Android-Telefone Ihre Freiheit nicht respektieren, vertraut Google ihnen. Das klingt seltsam, lassen Sie es mich erklären.
Auf einem Linux-Desktop oder einem GrapheneOS-Telefon haben Sie, der Benutzer, echte Kontrolle über Ihr eigenes Eigentum und können dessen Betrieb nach Ihren eigenen Wünschen ändern. Und obwohl Microsoft Windows Ihre Freiheit in letzter Zeit definitiv nicht respektiert hat, haben Windows-Benutzer immer noch die Kontrolle darüber, welche zusätzlichen Programme sie auf einem Windows-System installieren, zumindest vorerst. Aber auf einem Apple- oder Android-Gerät kann sich Google sicher sein, dass es genau so verschlimmert (enshittified) ist, wie Big Tech es beabsichtigt hat. Es kann sicher sein, dass alle auf dem Gerät laufenden Programme solche waren, die es in seinen eigenen App-Stores genehmigt hat, und dass das Gerät niemals die Bedürfnisse des Benutzers priorisieren wird, wenn sie mit den Wünschen des unternehmerischen Herrn kollidieren.
Hardware-Attestierung – bei der Ihr Gerät über einen kryptografischen Prozess einem entfernten Server den Beweis liefert, dass seine Hardware und Software echt und unverändert sind – verstärkt dieses Ungleichgewicht noch weiter. Das Gerät kann Sie nicht nur überwachen, sondern auch einen kryptografischen Schlüssel, der in einem normalerweise unzugänglichen Teil des Systems aufbewahrt wird, verwenden, um jede Nachricht, die es an die zentralisierten Server sendet, zu signieren und ihnen zu versichern, dass Sie nicht daran herumgebastelt haben. Der Server kann den Zugriff für jedes Gerät verweigern, das nicht in der Lage ist, die signierte Bestätigung zu liefern. Im Wörterbuch von Big Tech wird die Ausübung des wahren Eigentums über Ihr eigenes Eigentum nun als Herumbasteln abgetan, wobei jeder, der die Dreistigkeit besitzt, an den von ihm mit seinem eigenen, hart verdienten Geld gekauften Gegenständen ‚herumzubasteln‘, aus der anständigen Gesellschaft ausgeschlossen werden soll.
Innerhalb moderner zertifizierter Android-Geräte bietet die Play Integrity API Fähigkeiten zur Hardware-Attestierung. Für Apple erfüllt die App Attest API dieselbe Funktion. Die TPM 2.0-Sicherheitschips, die Microsoft als Hardware-Voraussetzung für die jüngsten Windows-Versionen aufgeführt hat, liefern die physischen Komponenten, die notwendig wären, wenn Microsoft in Zukunft Hardware-Attestierung einführen möchte – eine Entscheidung, die doppelt verdächtig erscheint, da selbst die sicherheitsorientiertesten Linux-Distributionen TPMs nicht zur Voraussetzung machen und Windows heute praktisch auch ohne TPM laufen kann. Dieses Konzept des ‚Trusted Computing‘ tut im Vergleich wenig, um Ihnen zu vertrauen, dass Ihr Computer sicher bleibt, ist aber sehr hilfreich, um entfernten zentralisierten Servern zu vertrauen, dass Ihr Computer ihren teuflischen DRM-Systemen gehorchen wird.
Einige Banking-Apps verwenden bereits Hardware-Attestierung, nachdem sie Googles Argument gekauft haben, dass dies die Sicherheit verbessere. Googles Argument ist lächerlich. Ihre Hardware-Attestierung genehmigt ältere Stock-Android-Modelle mit bekannten ungepatchten Schwachstellen – einschließlich solcher, die Malware das Ausspionieren von Benutzeraktivitäten ermöglichen würden – oder solche, die seit Jahren keine Updates mehr erhalten haben; aber sie blockiert vollständig aktualisierte GrapheneOS-Geräte. Indem Banken und andere App-Anbieter Hardware-Attestierung als Proxy für Sicherheit behandeln, schließen sie die sichereren Geräte aus. Und trotz all dieser Sicherheitshürden, die sie Benutzer überwinden lassen sollen, lecken Dienste immer noch sensible Datensätze in Milliardenhöhe durch groß angelegte Datenpannen auf ihrer Seite.
Zurück zu CAPTCHAs im Speziellen: Während KI-Crawler und automatisierte Spam-Bots ein echtes Problem sind, ist der Einsatz von Hardware-Attestierung zu ihrer Bekämpfung wie die Verwendung eines Presslufthammers, um eine Weinflasche zu öffnen, wenn ein Korkenzieher bereits zur Hand ist. Obwohl heutiges maschinelles Lernen oft alle Quadrate mit Fahrrädern identifizieren kann, gibt es immer noch nicht-invasive Methoden, um menschliche Benutzer zuzulassen und gleichzeitig maschinengenerierten Verkehr auszuschließen, oft durch Hinzufügen geringer Kosten in Zeit oder Energie, die für einen menschlichen Benutzer unbedeutend sind, aber sich summiermäßig verbieten, wenn ein Spam-Bot Tausende von Aktionen gleichzeitig ausführen will. Es ist daher schwer, eine Rationale für ein Hardware-Attestierungs-CAPTCHA zu erkennen, außer ein Duopol von Apple und Android zu zementieren und die Anonymität der Benutzer zu brechen. Denn was nützt ein VPN oder Tor, wenn jede Interaktion, die Sie mit einer Website auf der anderen Seite machen, über ein CAPTCHA, das eindeutige, unveränderliche Identifikatoren auf Ihrem Telefon abfragt, mit Ihnen verbunden wird? Selbst wenn die von Ihnen besuchte Website diese Informationen nie erhält, hätte Google die Gelegenheit, sie zu verarbeiten.
Denken Sie daran, dass dies nicht nur ein CAPTCHA ist, das Googles eigene Dienste umgibt. Online-Shops und Bankwebsites gehören zu den Nutzern von reCAPTCHA. Der Zugang zu wesentlichen Diensten könnte leicht jedem ohne ‚genehmigtes‘ Gerät verweigert werden. Hier ist ein Weg zur Entbankierung (debanking), der nicht einmal erfordert, dass Ihre Bank sich gegen Sie wendet: Hardware-Attestierungs-CAPTCHAs geben Big Tech ein einseitiges Vetorecht über die Online-Interaktionen aller. Google-gebrandete CAPTCHAs sind so weit verbreitet, dass sie genauso gut als Infrastruktur gelten könnten, und gefährdete Infrastruktur – im Gegensatz zu schlecht durchdachten Gesetzen – ist etwas, dem sich Menschen nicht einseitig entziehen können.
Die weit verbreitete Nutzung von Hardware-attestierten CAPTCHAs würde Benutzer von Desktops und Nicht-Google-, Nicht-Apple-Telefone zu Bürgern zweiter Klasse degradieren, die nur in der Lage sind, im Internet zu surfen, wenn ein Apple- oder Android-Gerät als ihr Begleiter fungiert. Indem sie Rechenplattformen, die die Freiheiten der Benutzer noch respektieren, nicht in der Lage sind, ohne Hilfe von Big-Tech-genehmigten Smartphones zu surfen, könnten sie die Nachfrage nach echten Universalcomputern senken. Letztendlich würde in der Produktion nur noch verwaltete Apparate übrig bleiben, Thin-Client-Systeme, die völlig von Big-Tech-Abonnements abhängig sind. Dies geschieht zur gleichen Zeit, als Universalrechnen von mehreren Fronten angegriffen wird, darunter: die Altersverifikations-Lobby, die gezielte Angriffe auf Entwickler und in die Höhe schießende Preise für RAM und Speicher, weil KI-Unternehmen den größten Teil des weltweiten Angebots aufkaufen. Einige mögen sagen, dass das Sprichwort „hinreichend fortgeschrittene Inkompetenz ist von Bösartigkeit nicht zu unterscheiden“ eine mögliche Erklärung für diese gleichzeitigen Bedrohungen liefert, aber ihre kombinierte Wirkung ist dennoch, die Macht des wahren Rechnens aus den Händen der Menschen zu nehmen.
Noch erschreckender ist die technische Möglichkeit, dass Hardware-Attestierung auf ISP-Ebene verwendet werden könnte, um freiheitsrespektierenden Geräten von vornherein die Verbindung zu verwehren, und so ein Internet hinterlassen könnte, in dem Big Gov und Big Tech alles vorschreiben können, ohne Wettbewerber fürchten zu müssen.
Der Vorstoß für Hardware-Attestierung ist nicht neu. Microsoft versuchte es in den frühen 2000er Jahren; es wurde als „Treacherous Computing“ abgelehnt. Google versuchte 2023, Web Environment Integrity zu pushen. Es hätte das Prinzip verletzt, dass ein Benutzer echte Kontrolle über seinen eigenen Computer haben sollte, indem es Websites erlaubt hätte zu diktieren, dass nur Benutzer mit bestimmten Systemkonfigurationen – wie solchen, die optimiert sind, um Werbung maximal anzuzeigen und Tracking so einfach wie möglich zu machen – auf Inhalte zugreifen können. Es wurde nach Aufschrei der Community abgesagt. Dieses Mal verwendet Google ‚Salamitaktiken‘, wobei die frühesten Hinweise auf das neue, vom Smartphone abhängige reCAPTCHA im Herbst 2025 ohne großes Aufsehen online auftauchten. Dies hat es ihm erlaubt, der Aufmerksamkeit von Cyber-Bürgerrechtlern wie David Davis oder Ron Wyden zu entgehen. Die breitere Bewegung für Meinungsfreiheit ist auch nicht informiert geblieben, aber die Hoffnungen von Sarah Rogers, der US-Beauftragten für Meinungsfreiheit, den „Geist des Internets… der so viele günstige Beiträge zu unserer Kultur und Wirtschaft geleistet hat… wo man hingehen kann, um frei zu sein“, zu bewahren, werden zunichte gemacht, wenn Hardware-Attestierung weit verbreitet wird. Und dieses Mal hat Google den Vorteil, dass seine ‚Lösung‘ der Digitalen ID und den Altersverifikationsinitiativen zu Hilfe kommen könnte, die selbst eine Lobby-geförderte ‚Lösung‘ auf der Suche nach einem Problem sind.
Als freimarktlicher Libertarist ist einer der wenigen legitimen Zwecke, die ich für nationale Regulierer anerkennen kann, die Verhinderung des Wachstums von Monopolen, die so total sind, dass sie Alternativen ausschließen können. Leider scheinen die heutigen Regulierer daran desinteressiert zu sein: Die britischen ‚OFCOMmunisten‘ sind damit beschäftigt, VPNs zu verbieten und kostenlose Bettwäsche für Preston Byrnes Hamster zu liefern, während sich die amerikanische FCC mit einem absurden Versuch verzettelt hat, die Einfuhr von Netzwerkroutern zu verbieten – etwas, wofür die USA keine eigenen Produktionslinien haben. Die EU ist noch schlimmer, indem sie diese Pläne unterstützt und begünstigt, indem sie Hardware-Attestierung in ihrer eigenen Digitalen Identitäts-App verwendet. Weit davon entfernt, duopolistische Marktmissbräuche zu verhindern, nutzt sie sie. Der Wunsch der EU nach Tech-Stack-Souveränität scheint dort aufzuhören, wo er ihre Fähigkeit einschränken würde, ihre Bürger zu kontrollieren und zu zwingen.
Die Dummheit, die Verbreitung von Hardware-Attestierung zuzulassen, wird am besten dadurch veranschaulicht, wenn man sich vorstellt, was der EU passieren könnte, wenn sie – nachdem sie gesellschaftlich abhängig geworden ist von einer Digitalen Identitäts-App, die selbst von einer Google-Apple-Hardware-Attestierungsschicht abhängig ist – anschließend etwas tut, um Donald Trump neu zu beleidigen. Während der daraus resultierende Zusammenbruch von den Technokraten an der Macht geradezu verdient wäre, würden die Menschen vor Ort schwer leiden. Ein weiser Politiker würde heute die Weisheit erkennen, dies zu verhindern, indem er ein Internet schafft, das immun gegen politische Einmischung wäre, weil es bis auf die physische Schicht hinunter der Kontrolle von Big Gov und Big Tech entzogen wäre. Er würde erkennen, dass die Opferung seiner eigenen Fähigkeit, dieses Netzwerk zu manipulieren, mehr als kompensiert würde durch die Gewissheit, dass keine geopolitischen Gegner es auch gegen ihn manipulieren könnten. Heute braucht die Open-Source-Gemeinschaft niemandes Erlaubnis, um ein paralleles Internet für eine parallele Gesellschaft zu entwickeln, obwohl die Unterstützung weiser Politiker willkommen wäre. Aber die Plattformen, auf denen die Gemeinschaft zunächst die Details diskutieren und Quellcode und Schaltpläne teilen muss, befinden sich noch im heutigen Internet. Wartet man zu lange, könnte Hardware-Attestierung die Notluke zuschweißen.
Letzte Meldung: Googles Dokumentation änderte sich während der Erstellung dieses Artikels und fügte ein hervorgehobenes Feld hinzu, das das neue CAPTCHA als „Vorschau“ mit verfügbaren Alternativen beschreibt. Google weiß offenbar, dass die Pläne nicht beliebt sind. Wenn genügend öffentliche Aufmerksamkeit gegen sie mobilisiert werden kann, könnten sie für immer im Vorschau-Stadium bleiben.
*
Dr. R P schloss während der globalen Überreaktion auf Covid eine Robotik-Promotion ab. Er verbringt seine Zeit mit einem Auge auf dem Oszilloskop, einer Hand am Lötkolben und einem Ohr, das auf die nächsten schlechten Nachrichten wartet. Er hat das Together Pledge unterzeichnet und wird sich niemals auf von Apple, der Regierung oder Google ‚genehmigte‘ Geräte verlassen.
